Компания Microsoft выпустила обновления безопасности, устраняющие две критические уязвимости в Windows Codecs Library. Обе проблемы (CVE-2020-1425 и CVE-2020-1457) связаны с тем, как Windows Codecs Library обрабатывает объекты в памяти, и могут быть проэкслуатированы с помощью специально созданного файла изображения. Эксплуатация первой уязвимости (CVE-2020-1425) позволяет получить доступ к информации для дальнейшего взлома системы пользователя. Вторая проблема (CVE-2020-1457) позволяет удаленно выполнить код. Уязвимости затрагивают только версии Windows 10 и Windows Server 2019.
Обзор уязвимостей за неделю: 3 июля 2020 года
Обзор уязвимостей за неделю: 3 июля 2020 года
SecurityLab.ru
Обзор уязвимостей за неделю: 3 июля 2020 года
Были обнаружены уязвимости в ОС PAN-OS, ПО Industrial Automation DOPSoft и пр.
Задолго до того, как китайская компания Huawei добилась большого успеха в области технологий 5G, в начале 2000-х годов успешной разработкой беспроводных сетей, получивших название 4G и 5G, занималась крупная канадская компания Nortel. Однако успех Nortel не только приносил большой доход ее руководству, но также сделал компанию мишенью для конкурентов, пишет Bloomberg.
Bloomberg: Своим успехом в развитии 5G Huawei может быть обязана кибершпионажу
Bloomberg: Своим успехом в развитии 5G Huawei может быть обязана кибершпионажу
SecurityLab.ru
Bloomberg: Своим успехом в развитии 5G Huawei может быть обязана кибершпионажу
По данным издания, китайские хакеры могли похищать разработки из компьютерных сетей канадской Nortel.
Разработчик портала по созданию портфолио Urspace.io сообщил в Twitter о том, что приложение LinkedIn для iOS обращается к буферу обмена после каждого нажатия клавиши пользователем, получая таким образом доступ к пользовательской информации.
Приложение LinkedIn для iOS постоянно обращается к буферу обмена
Приложение LinkedIn для iOS постоянно обращается к буферу обмена
SecurityLab.ru
Приложение LinkedIn для iOS постоянно обращается к буферу обмена
Представитель LinkedIn заверил, что функция просто проверяет, соответствует ли введенный в поле текст содержимому буфера.
Помимо функциональных и накопительных обновлений Центр обновления Windows в Windows 10 также отвечает за установку драйверов для дисплея, аудио, Bluetooth и подключенных устройств.
Windows 10 2004 вызывает проблемы с драйверами и OneDrive
Windows 10 2004 вызывает проблемы с драйверами и OneDrive
SecurityLab.ru
Windows 10 2004 вызывает проблемы с драйверами и OneDrive
На некоторых системах после апгрейда появляются проблемы с драйверами дисплея и перестает работать OneDrive.
Исследователь безопасности из компании NCC Group Рич Уоррен (Rich Warren) зафиксировал ряд кибератак на сетевые устройства F5 BIG-IP. По словам эксперта, злоумышленники эксплуатируют уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP с целью похитить пароли администратора со взломанных устройств.
Киберпреступники пытаются похитить пароли администратора с устройств F5 BIG-IP
Киберпреступники пытаются похитить пароли администратора с устройств F5 BIG-IP
SecurityLab.ru
Киберпреступники пытаются похитить пароли администратора с устройств F5 BIG-IP
Злоумышленники начали эксплуатировать уязвимость в F5 BIG-IP спустя три дня после ее раскрытия.
ИБ-сообщество не хочет отказываться от термина black hat из-за расовых стереотипов
Споры о замене терминов начались после того, как вице-президент Google отказался выступать на Black Hat USA 2020. https://www.securitylab.ru/news/509721.php
Споры о замене терминов начались после того, как вице-президент Google отказался выступать на Black Hat USA 2020. https://www.securitylab.ru/news/509721.php
SecurityLab.ru
ИБ-сообщество не хочет отказываться от термина black hat из-за расовых стереотипов
Споры о замене терминов начались после того, как вице-президент Google отказался выступать на Black Hat USA 2020.
Разработчики системы управления базами данных MySQL сообщили о своих намерениях прекратить использование таких расистских терминов, как master («хозяин» или «ведущий») и slave («раб» или «ведомый»), blacklist («черный список») и whitelist («белый список») в исходном коде и документации базы данных. По словам команды MySQL, данные термины будут заменены новыми, такими как source («источник»), replica («копия»), blocklist («список запрещенных») и allowlist («список разрешенных») соответственно.
https://www.securitylab.ru/news/509722.php
https://www.securitylab.ru/news/509722.php
SecurityLab.ru
MySQL откажется от использования расистских терминов
Команда MySQL вслед за другими компаниями и проектами с открытым исходным кодом решила изменить свою терминологию.
На прошлой неделе компания Microsoft выпустила обновления безопасности через магазин приложений Microsoft Store, чем привела в замешательство многих пользователей.
Microsoft выпустила обновления безопасности через Microsoft Store
Microsoft выпустила обновления безопасности через Microsoft Store
SecurityLab.ru
Пользователи в недоумении, почему Microsoft выпустила патчи через Microsoft Store
Внеплановые патчи для двух уязвимостей были выпущены не через Центр обновления Windows, а через Microsoft Store.
Специалисты компании Sansec сообщили о масштабной вредоносной кампании по краже данных платежных карт клиентов крупных ретейлеров в США и Европе. В ходе мошеннических действий, в осуществлении которых исследователи подозревают группировку Lazarus (также известной как Hidden Cobra), преступники использовали легитимные web-сайты для кражи данных кредитных карт и маскировки своих операций.
Группировка Lazarus заподозрена в краже данных платежных карт покупателей в США и Европе
Группировка Lazarus заподозрена в краже данных платежных карт покупателей в США и Европе
SecurityLab.ru
Группировка Lazarus заподозрена в краже данных платежных карт покупателей в США и Европе
Преступники использовали легитимные web-сайты для кражи данных кредитных карт и маскировки своих операций.
Власти Великобритании могут отказаться от своего решения позволить Huawei выступить в качестве поставщика сетей 5G. Как сообщается в отчете Национального центра кибербезопасности Центра правительственной связи (GCHQ) Великобритании, опубликованном The Telegraph, введенные США санкции против Huawei «вынудят компанию использовать ненадежные технологии, тем самым подвергая опасности Великобританию».
Великобритания может отказаться от технологии 5G компании Huawei
Великобритания может отказаться от технологии 5G компании Huawei
SecurityLab.ru
Великобритания может отказаться от технологии 5G компании Huawei
Введенные США санкции против Huawei якобы могут вынудить компанию использовать ненадежные технологии.
Вымогательство приобретает все большую популярность у киберпреступников, и ярким тому примером служат события прошлой недели. Кроме того, актуальными по-прежнему остаются проблемы утечек данных и кибератак на критическую инфраструктуру. Об этих и других инцидентах безопасности, имевших место с 29 июня по 5 июля нынешнего года, читайте в нашем обзоре.
Обзор инцидентов безопасности за период с 29 июня по 5 июля 2020 года
Обзор инцидентов безопасности за период с 29 июня по 5 июля 2020 года
SecurityLab.ru
Обзор инцидентов безопасности за период с 29 июня по 5 июля 2020 года
На прошлой неделе наибольшую активность проявляли кибервымогатели всех мастей.
В версии macOS 11 Big Sur, запланированной к выходу осенью нынешнего года, компания Apple удалит возможность установки конфигурации профиля macOS из командной строки.
macOS 11 нанесет удар по распространителям рекламного ПО
macOS 11 нанесет удар по распространителям рекламного ПО
SecurityLab.ru
macOS 11 нанесет удар по распространителям рекламного ПО
В macOS 11 Apple лишит киберпреступников возможности незаметно развертывать вредоносные профили.
Исследователям из Швейцарской высшей технической школы Цюриха удалось разработать микросхему, преобразующую быстрые электронные сигналы непосредственно в сверхбыстрые световые, практически без потери качества.
Разработан чип для сверхбыстрой передачи информации в оптических сетях
Разработан чип для сверхбыстрой передачи информации в оптических сетях
SecurityLab.ru
Разработан чип для сверхбыстрой передачи информации в оптических сетях
Микросхема способна преобразовывать быстрые электронные сигналы в сверхбыстрые световые.
Минкомсвязь разработала регламент отслеживания контактов заразившихся коронавирусом на основе геолокации и данных мобильных операторов.
Разработана система слежки за covid больными
Разработана система слежки за covid больными
SecurityLab.ru
Разработана система слежки за covid больными
Власти будут отслеживать местоположение заразившегося и составят список тех, кто находился рядом с заболевшим и общался с ним по мобильной связи последние 14 дней
Секретная служба США предупредила частные компании и правительственные организации об участившихся кибератаках на поставщиков управляемых услуг.
Секретная служба США предупредила об атаках на поставщиков управляемых услуг
Секретная служба США предупредила об атаках на поставщиков управляемых услуг
SecurityLab.ru
Секретная служба США предупредила об атаках на поставщиков управляемых услуг
Хакеры взламывают решения поставщиков управляемых услуг и через них проникают в компьютерные сети их клиентов.
Сотрудники исследовательского института Фраунгофера (Fraunhofer-Institut für Sichere Informationstechnologie) (Германия) проанализировали 127 обычных маршрутизаторов для домашнего использования. Хоть у них и была установлена последняя версия прошивки, почти все устройства содержали опасные уязвимости. Проблемы варьируются от отсутствующих обновлений безопасности до простых в расшифровке встроенных паролей.
Эксперты оценили безопасность популярных домашних маршрутизаторов
Эксперты оценили безопасность популярных домашних маршрутизаторов
SecurityLab.ru
Эксперты оценили безопасность популярных домашних маршрутизаторов
За последний год более трети маршрутизаторов не получили ни одного обновления безопасности.
Бывший сотрудник Yahoo! Рейес Даниэль Руис (Reyes Daniel Ruiz), ранее признавший свою вину во взломе тысяч пользовательских учетных записей, получил пять лет лишения свободы условно.
Взламывавший аккаунты пользователей сотрудник Yahoo! избежал тюрьмы
Взламывавший аккаунты пользователей сотрудник Yahoo! избежал тюрьмы
SecurityLab.ru
Взламывавший аккаунты пользователей сотрудник Yahoo! избежал тюрьмы
Мужчина проникал в учетные записи молодых женщин, подруг и коллег по работе в поисках откровенных фото.
Некоторые пользователи Windows 10 столкнулись с невозможностью обновления до нового релиза Windows 10 (версия 2004 или May 2020 Update) на устройствах с «проблемными» конфигурациями при попытке установить обновление вручную.
Microsoft блокирует обновление до Windows 10 2004 на ПК с «неподдерживаемыми настройками»
Microsoft блокирует обновление до Windows 10 2004 на ПК с «неподдерживаемыми настройками»
SecurityLab.ru
Microsoft блокирует обновление до Windows 10 2004 на ПК с «неподдерживаемыми настройками»
Microsoft пока официально не признала наличие неполадки.
Администрация президента США Дональда Трампа рассматривает возможность ограничения американским гражданам доступа к китайскому приложению TikTok из опасений, что оно может тайно использоваться правительством КНР для распространения пропаганды и слежки за пользователями. Об этом в понедельник, 6 июля, сообщил госсекретарь США Майк Помпео в эфире телеканала Fox News.
В США могут запретить TikTok из соображений безопасности
В США могут запретить TikTok из соображений безопасности
SecurityLab.ru
В США могут запретить TikTok из соображений безопасности
Госсекретарь США посоветовал гражданам с осторожностью относиться к TikTok.
С развитием новых технологий дипфейков определить достоверность той или иной информации, публикуемой в интернете, становится значительно сложнее. Подобные технологии позволяют с легкостью манипулировать изображениями и видео за счет использования нейронных сетей, способных симулировать речь, движения и внешний вид людей.
Представлен новый алгоритм для защиты от дипфейков
Представлен новый алгоритм для защиты от дипфейков
SecurityLab.ru
Представлен новый алгоритм для защиты от дипфейков
Фильтр изменяет пиксели таким образом, что видео и изображения становятся непригодными для изготовления дипфейков.